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Abstract of DE1 9529434 

A microprocessor system for safety-critical 
regulating systems comprises two synchronously 
operated central units (1 , 2) which receive the 
same input data and process the same program, 
ROM (5, 10) and RAM (6, 11) for useful data and 
verification data and also comparators (18, 19) 
which check the output signals from the central 
units (1, 2) and issue shutdown signals if they do 
not correspond. The central units (1, 2) are 
connected to the memories and the input/output 
units via separate bus systems (3, 4) and are 
coupled by driver stages (15-17) which make it 
possible for the central units (1 , 2) to read and 
process the data available in both bus systems 
(3, 4). 
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(54) Microprozessorsystem fur sicharheitskritische Regelungen 

@ Eln Mikroprozessorsystam fur sicherheitskritische Rege- 
lungen umfaSt zwei synchron betriebene Zentraleinheiten (1, 
2), die die gieichen Eingangsdaten erhalten und das gieiche 
Programm abarbeiten, auSerdem Festwertspeicher (5, 10) 
und Schreib-Lese-Speicher (8, 1 1) fur Nutzdaten und Pruf da- 
ten und auSerdem Vergleicher (18, 19), die die Ausgangssi- 
gnale der Zentraleinheiten (1 , 2) uberprufen und bei Nicht- 
Ubereinstfmmung Abschaltsignale abgeben. Die Zentralein- 
heiten (1, 2) sind fiber separate Bussysteme (3, 4) an die 
Speicher sowie an die Eingabe- und Ausgabeelnheiten 
angeschlossen und durch Treiberstufen (15-17) gekoppelt, 
die den Zentraleinheiten (1,2) eln gemeinsames Lesen und 
Abarbeiten der in beiden Bussystemen (3, 4) zur Verfugung 
stehenden Daten ermdglichen. 
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Beschreibung 

Die Erfindung bezieht sich auf ein fQr sicherheitskriti- 
sche Regelungssysteme vorgesehenes Microprozessor- 
system, das zwei synchron betriebene Zentraleinheiten 
oder CPU's enthalt, die die gleichen Eingangsinforma- 
tionen erhalten und das gleiche Programm abarbeiten, 
die mit Festwertspeichern (ROM) und Schreib-Lese- 
Speichern (RAM) und mit Speicherplatzen fur Prflfin- 
formationen und mit PrQfinformationsgeneratoren aus- 
gerOstet sind und die auBerdem Vergleicher enthalten, 
die die Ausgangsinformation der Zentraleinheiten Qber- 
prflfen und bei Nicht-Obereinstimmung Abschaltsignale 
abgeben. 

Zu den sicherheitskritischen Regelungssystemen ge- 
horen beispielsweise die in die Bremsenfunktion ein- 
greifenden Kraftfahrzeug-Regelungssysteme, von de- 
nen insbesondere die Blockierschutzregelungen oder 
Antiblockiersysteme (ABS) und die Antriebsschlupfre- 
gelungssysteme (ASR, TCS, etc.) in vielen Varianten auf 
dem Markt sind und groBe Bedeutung besitzen. Fahr- 
stabilitatsregelungssysteme (FSR, ASMS), Fahrwerks- 
regelungssysteme usw. sind ebenfalls sicherheitskritisch, 
weil sie auf Bremseneingriff beruhen oder weil bei ih- 
rem Versagen auf andere Weise die Fahrstabilitat des 
Fahrzeugs leiden kann. Es ist daher unbedingt erforder- 
lich, die Funktionsfahigkeit solcher Systeme stSndig zu 
Qberwachen, um beim Auftreten eines Fehlers die Rege- 
lung abschalten oder in einen f Or die Sicherheit weniger 
gef ahrlichen Zustand umschalten zu kflnnen. 

Ein Beispiel fQr eine Schaltungsanordnung oder ein 
Microprozessorsystem zur Steuerung und Oberwa- 
chung einer blockiergeschQtzten Fahrzeugbremsanlage 
ist aus der DE 32 34 637 C2 bekannt Nach dieser Schrift 
werden die Eingangsdaten zwei identisch programmier- 
ten Microcomputern parallel zugefQhrt und dort syn- 
chron verarbeitet. Die Ausgangssignale und Zwischen- 
signale der beiden Microcomputern werden mit Hilfe 
von redundanten Vergleichern auf Obereinstimmung 
geprQft Wenn die Signale voneinander abweichen, wird 
tiber eine ebenfalls redundant ausgelegte Schaltung eine 
Abschaltung der Regelung herbeigef Qhrt. Bei dieser be- 
kannten Schaltung dient einer der beiden Microcompu- 
ter zur Erzeugung der Bremsdrucksteuersignale, der an- 
dere zur Bildung der PrQfsignale. Bei diesem symme- 
trisch aufgebauten Microprozessorsystem sind also 
zwei vollstandige Microcomputer, einschlieBlich der zu- 
geh5rigen Festwert- und Schreib-Lese-Speicher, erfor- 
deriich. 

Nach einem anderen bekannten System, nach dem die 
in der DE 41 37 124 Al beschriebene Schaltung aufge- 
baut ist, werden die Eingangsdaten ebenfalls zwei Mi- 
crocomputern parallel zugefQhrt, von denen jedoch nur 
einer die vollstandige, aufwendige Signalverarbeitung 
ausfuhrt. Der zweite Microcomputer dient vornehmlich 
zur Oberwachung, weshalb die Eingangssignale nach 
Aufbereitung, Bildung von zeitlichen Ableitungen etc. 
mit Hilfe vereinfachter Regelalgorithmen und verein- 
fachter Regelphilosophie weiterverarbeitet werden 
kflnnen. Die vereinfachte Datenverarbeitung reicht zur 
Erzeugung von Signalen aus, die durch Vergleich mit 
den in dem aufwendigeren Micro-Computer verarbeite- 
ten Signalen RQckschlQsse auf den ordnungsgemaBen 
Betrieb des Systems zulassen. Durch die Verwendung 
eines PrOf-Microcomputers geringerer Leistungsfahig- 
keit laBt sich der Herstellungsaufwand im Vergleich zu 
einem System mit zwei vollstandigen, aufwendigen Mi- 
crocomputern gleicher Leistung reduzieren. 



Ein Microprozessorsystem der eingangs genannten 
Art ist auch bereits aus der DE 43 41 082 AI bekannt Es 
ist insbesondere an die Anwendung fQr das Regelungs- 
system einer blockiergeschQtzten Bremsanlage gedacht 

5 Diese bekannte System, das auf einem einzigen Chip 
untergebracht werden kann, enthalt zwei Zentraleinhei- 
ten bzw. CPU's, in denen die Eingangsdaten parallel 
verarbeitet werden. Die Festwert- und die Schreib-Le- 
se-Speicher, an die beide Zentraleinheiten angeschlos- 

io sen sind, enthalten zusatzliche Speicherplatze fQr PrQf- 
informationen und umfassen jeweils einen Generator 
zur Erzeugung von PrQfinformationea Die Ausgangssi- 
gnale eines der beiden Zentraleinheiten werden zur Er- 
zeugung der Steuersignale weiterverarbeitet, wahrend 

15 die andere, die "passive" Zentraleinheit, lediglich zur 
Oberwachung der "aktiven" Zentraleinheit, dient. Durch 
den Verzicht auf die Verdoppelung der Speicher dieses 
Systems, unter Inkaufnahme einer relativ geringfQgigen 
Erweiterung der Speicher zur Aufnahme der PrQfinfor- 

20 mationen, wird eine erhebliche Verringerung des Her- 
stellungsaufwandes ohne EinbuBen an die Fehlerer- 
kennbarkeit erreicht 

Der Erfindung liegt ebenfalls die Aufgabe zugrunde, 
ein Microprozessorsystem so entwickeln, daB mit der 

25 auBerst hohen Wahrscheinlichkeit und Zuverlassigkeit, 
die fQr sicherheitskritische Anwendungen gefordert 
wird, Fehlfunktionen des Systems erkennt und signali- 
siert Gleichzeitig sollte ein vergleichsweise.geringer 
Herstellungsaufwand fQr ein solche Microprozessorsy- 

30 stemgenQgen. 

Es hat sich herausgestellt, daB diese Aufgabe mit den 
im beigefQgten Anspruch 1 beschriebenen System ge- 
lost werden kann, dessen Besonderheit darin besteht, 
daB die Zentraleinheiten bzw. CPU's Qber separate Bus- 

35 systeme an die Festwert- und an die Schreib-Lese-Spei- 
cher sowie an Eingabe- und an Ausgabeeinheiten ange- 
schlossen sind und daB die Bussysteme untereinander 
durch Treiberstufen verbunden bzw. gekoppelt sind, die 
den beiden Zentraleinheiten ein gemeinsamen Lesen 

40 und Abarbeiten der anstehenden, d. h. in den beiden 
Bussystemen zur VerfQgung stehenden Daten ein- 
schlieBlich der PrQfdaten und Befehle, ermQglichen. Die 
auf den beiden Bussystemen anstehenden Eingans- und 
Ausgangsdaten der beiden Zentraleinheiten, einschlieB- 

45 lich der PrQfdaten und Befehle werden von dem oder 
den Vergleichern des erfindungsgemaflen Systems auf 
Obereinstimmung QberprQft 

In den UnteransprQchen sind noch einige vorteilhafte 
Ausf Qhrungsbeispiele der Erfindung beschrieben. 

50 Das erfindungsgemaBe Microprozessorsystem ba- 
siert auf der Verwendung von zwei gleichberechtigten, 
vollredundant betriebenen Rechnerkernen bzw. Zen- 
traleinheiten, die gemeinsam die Qber zwei separate 
Bussysteme zugefQhrten Daten redundant verarbeiten. 

55 Mit Hilfe eines einfachen Hardware- Vergleichers, dem 
aus SicherheitsgrQnden ein zweiter Vergleicher paral- 
lelgeschaltet ist, werden dann die Eingangs- und die 
Ausgangssignale beider Zentraleinheiten auf Oberein- 
stimmung verglichen. Die Speicher des erfindungsge- 

60 maBen Systems sind nur einmal vorhanden; es sind le- 
diglich zusatzliche Speicherplatze fQr PrQfdaten, die bei- 
spielsweise in Form von Paritatsbits vorliegen, vorgese- 
hen. 

Nach einem bevorzugten AusfQhrungsbeispiel ist an 
65 einem der beiden Bussysteme ein vollstandiger Micro- 
prozessor bestehend aus Zentraleinheit, Festwert- und 
Schreib-Lese-Speicher, Eingangs- und Ausgangsstufe, 
angeschlossen, wahrend das zweite Bussystem anstelle 
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der Festwert- und Schreib-Lese-Speicher nur mit ent- 
sprechenden Speicherpiatzen fiir PrOfdaten direkt ver- 
bunden ist Die beide Bussysteme koppelnden Treiber- 
stufen ermoglichen jedoch beiden Zentraleinheiten das 
Lesen aller bendtigten, von den Nutzdaten-Speichern, 
den PrQfdatenspeichern und den Eingangsstufen gelie- 
ferten Daten. Auf diese Weise entsteht eine besonders 
einfache Struktur des erfmdungsgemaflen Microprozes- 
sorsystems, die das Unterbringen aller Komponenten 
auf einem einzigen Chip begunstigt 

Weitere Merkmale, Vorteile und Anwendungsmdg- 
lichkeiten gehen aus der folgenden Beschreibung eines 
Ausfuhrungsbeispiels anhand der beigefugten Abbil- 
dung hervor, die in schematisch vereinfachter Darstel- 
lung die wichtigsten Komponenten eines Microprozes- 
sorsystems nach der Erfindung wiedergibt 

Zur Eriauterung des prinzipiellen Aufbaus und der 
Wirkungsweise eines Microprozessorsystems nach der 
Erfindung dient die beigefQgte Abbildung. Es handelt 
sich in diesem Beispiel und ein Ein-Chip-Microcompu- 
tersystem, das zwei synchron betriebene Zentraleinhei- 
ten 1, 2, die auch als Rechner- oder Prozessorkerne oder 
als CPU's bezeichnet werden, separate Bussysteme 3, 4 
(Bus 1, Bus 2) enthait Der fttr beide Zentraleinheiten 1, 2 
gemeinsame Takt wird Qber den AnschluB cl (common 
clock) zugefQhrt Die Zentraleinheit 1 ist durch einen 
Festwertspeicher 5 (ROM), durch einen Schreib-Lese- 
Speicher 6 (RAM) und durch Eingabe- oder Eingangs- 
stufen 7, 8 (Peripherie 1, Port 1) und durch eine Ausga- 
be- oder Ausgangsstufe 9 zu einem vollstSndigen Micro- 
computer MCI erganzt An das zweite Bussystem 4 (Bus 
2) sind dagegen auBer der Zentraleinheit 2 lediglich 
PrQfdaten-Speicher 10, 11 und auBerdem Eingabe- oder 
Eingangsstufen 12, 13 und eine Ausgabestufe 14 ange- 
schlossen. Die Priifdaten-Speicherplatze fur die Daten 
im Festspeicher 5 sind in dem Speicher 10, die PrOfdaten 
fQr den Schreib-Lese-Speicher 6 im Speicher 11 unter- 
gebracht Das Ganze bildet einen "abgemagerten** Mi- 
crocomputer MC2. 

Die beiden Bussysteme 3, 4 (Bus 1, Bus 2) sind auBer- 
dem, was erfindungswesentlich ist, durch Treiberstufen 
15, 16, 17 gekoppelt, die es ermflglichen, daB die ankom- 
menden Daten von den beiden Zentraleinheiten 1, 2 
gemeinsam gelesen werden kflnnen. Die Stufen 15 bis 17 
sind Treiber (oder "buffer" mit Enable-Funktion). Die 
Obertragungsrichtungen der Treiber 15 bis 17 sind 
durch einen Pfeil symbolisch dargestellt; der Treiber 15 
dient zur Obertragung der Daten, die sich auf dem Bus- 
system 3 (Bus 1) befinden, zur Zentraleinheit 2, der Trei- 
ber 16 zur Obertragung der PrQfinformationen oder 
-daten aus den PrQfdatenspeichern 10, 11 zur Zentral- 
einheit 1 und der Treiber 17 zur Obertragung der Daten 
von den Eingangsstufen 12, 13 des zweiten Bussystems 4 
(Bus 2) zur Zentraleinheit 1. 

Die Bussysteme 3, 4 umfassen jeweils einen Steuerbus 
einen Datenbus "D* und eine Adress-Bus "A**. Auf 
dem Datenbus befinden sich auch die PrOfdaten "p". Die 
Eingangs- und die Ausgangsdaten der Zentraleinheiten, 
die in einem Hardware-Vergleicher 18 und in einem 
gleichartigen, auf dem gleichen Chip, Srtlich getrennt 
angeordneten Vergleicher 19 auf Obereinstimmung ge- 
prtlft werden, sind daher in mit "CDpA" bezeichnet 

Im Gegensatz zu bekannten Systemen ist bei dem 
erfindungsgemaBen Micropozessorsystem keine Unter- 
scheidung in einen aktiven und in einen passiven Rech- 
ner mflglich. Die beiden Rechnerkerne oder Zentralein- 
heiten 1, 2 sind vielmehr gleichberechtigt Sie verarbei- 
ten vollredundant die gemeinsam gelesenen Daten, zu 
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denen auch die Prflf- oder Redundanzinformationen 
und die Steuerbefehle gehdren. Die Eingangs- und die 
Ausgangssignale der Rechner 1, 2 werden auf Oberein- 
stimmung geprQft und Qber die zugehorigen Bussyste- 
5 me 3, 4 und die Ausgabeeinheiten 9, 14 einer symbolisch 
dargestellten Ventilansteuerung 20 zugeleitet Diese 
funktioniert wie folgt: 

Beide Zentraleinheiten 1, 2 liefern Qber die Bussyste- 
me 3, 4 identische Ausgangssignale zu den Ausgabeein- 
10 heiten 9, 14. Im Weg zu einer der beiden Ausgabeeinhei- 
ten, hier im Weg zur Ausgabeeinheit 14, ist ein Inverter 
22 eingefQgt Ober einen seriellen Bus 21 ist die Ventil- 
ansteuerung 20 angeschlossen. Es sind in diesem Aus- 
fuhrungsbeispiel zwei Ausgangsschieberegister 22, 23 
15 vorgesehen, wobei dem zweiten Schieberegister 22 die 
Daten invertiert zugefuhrt werden, um Kurzschlusse 
zwischen den Rechnern auszuschlieBen. Ober ein UND- 
Gatter 24 mit einem invertierenden Eingang werden die 
in den Schieberegistern 22, 23 enthaltenen Daten auf 
20 Obereinstimmung verglichen. Ist die UND-Bedingung, 
die das Gatter 24 Qberwacht, nicht erfQUt, wird ein 
Schalter 26 in der Stromversorgung fGr die angesteuer- 
ten Ventile oder Aktuatoren 25 gedffnet und dadurch, 
weil ein Fehler vorliegt, die Aktuatorbetatigung abge- 
25 schaltet 

Die Schieberegister 22, 23 sind als Bestandteile der 
Ausgangsstufen 9 bzw. 14 anzusehen. Es wird also unab- 
h&ngig von den Vergleichern 18, 19 nochmals, in diesem 
Fall extern, die Obereinstimmung der Ausgangssignale 

30 Qberwacht Im Fehlerfall wird somit unabh&igig von der 
Funktion der Zentraleinheiten 1, 2 die Ansteuerung der 
Ventile 25 unterbunden. 

ErfindungsgemaB wird also die Zentraleinheit, wozu 
die Gesamtheit des Rechenwerkes und der Ablaufsteue- 

35 rung gehdrt, zur Absicherung der Rechenergebnisse 
und der richtigen Abarbeitung der Programme doppelt 
ausgefQhrt Der Datenbus wird jeweils um einen Gene- 
rator fQr die PrOfdaten bzw. fQr Redundanzinformation, 
z. B. fur Paritatsbits, erweitert Die Ausgangssignale der 

40 beiden Zentraleinheiten, werden zur OberprQfung an 
die Hardware-Vergleicher (18, 19) geleitet Diese uber- 
prtlfen die Identit&t der Signale, einschlieBlich der PrQf- 
signale, und bewirken eine System-ABSCHALTUNG, 
wenn die synchrone Abarbeitung der Programme durch 

45 die redundanten Zentraleinheiten voneinander abwei- 
chende Resultate ergebea 

Die Ausgangssignale beider Zentraleinheiten sind 
gleichberechtigt, d. h. eine Ansteuerung von Speicher- 
einheiten (RAM, ROM) oder der ,, Peripherie ,, kann 

50 durch eine der beiden Zentraleinheiten erfolgen. 

Ober die Eingabeeinheiten 7, 12, die in der Abbildung 
als Peripherie 1 und Peripherie 2 bezeichnet sind, kdn- 
nen bei einem Kraftfahrzeugregelungssystem z. B. die 
Radsensoren, deren Ausgangssignale die wichtigsten 

55 EingangsgrdBen des Regelungssystems sind, ange- 
schlossen werden. Dabei ist es mdglich, die Sensorsi- 
gnal-ZufQhrung wie dargestellt, auf die beiden Bussyste- 
me 3, 4 zu verteilen. Die Signalzuf Qhrung kann natQrlich 
auch redundant, ntoilich durch AnschluB aller Sensorsi- 

eo gnale an beide Bussysteme 3, 4, ausgebildet werden. 

Entsprechendes gilt fQr die Qber die Eingabestufen 8, 
13 (Port 1, Port 2) zugefQhrten Informationen. Bei einem 
geregelten Bremsensystem werden Qber diese Eingabe- 
stufen beispielsweise der Bremslichtschalter und andere 

65 Sensoren angeschlossen. 

Ein wichtiges Merkmal der Erfindung ist darin zu 
sehen, daB — trotz der weitgehenden Redundanz und 
"Absicherung** des Datenverarbeitungsprozesses — der 
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Speicheraufwand relativ klein gehalten wird. Die Fest- 
wert- und die Schreib-Lese-Speicher sind namlich, wie 
zuvor erlautert, Iediglich fQr einen der beiden Micro- 
computer (MCI) vorgesehen, wSLhrend an den zweiten 
Microcomputer (MC2) Iediglich Speicherplatze (10, 11) 5 
fQr PrQfdaten besitzt Die Treiberstufen 15, 16, 17 mit 
denen beide Bussysteme gekoppelt sind, stellen sicher, 
daB dennoch im DatenverarbeitungsprozeB beiden 
Zentraleinheiten die gespeicherten Nutzdaten und PrQf- 
daten zur VerfQgung stehen. 10 

Abweichend von dem dargestellten Ausfuhrungsbei- 
spiel kdnnen die Speicherplatze der Speicher 5, 6, 10, 11 
auch vdllig anders auf die beiden Bussysteme 3, 4 bzw. 
Microcomputer MCI, MC2 verteilt werden. Der insge- 
samt erforderliche Speicherplatz wird dadurch nicht er- 15 
hdht 

Zur Fehlererkennung beim Lesen und Schreiben der 
gespeicherten und abzuspeichernden Daten werden die 
PrQfdaten bzw. Parkatsbits herangezogea Zu jeder 
Speicherzelle des Festwert- und des Schreib-Lese-Spei- 20 
chers ist unter der gleichen Adresse in den Speichern 10, 
11 des zweiten Microprozessors MC2, der nur Speicher- 
platze ftir die PrQfdaten enthalt, die Redundanzinforma- 
tion abgelegt FQr den Festwertspeicher wurde die Priif- 
bzw. Redundanzinformation bereits wahrend der Pro- 25 
grammierung festgelegt Bei den Schreib-Lese-Spei- 
chern wird diese PrQf- bzw. Redundanzinformation 
beim Schreibvorgang generiert Analog zu dem Lese- 
vorgang der Daten und Befehle wird die PrQf- bzw. 
Redundanzinformation Qber die Treiberstufe 16, die die 30 
beiden Bussysteme 3, 4 koppelt, Qbertragen. Beim 
schreibenden Zugrif f werden demnach die zu schreiben- 
den Daten urn eine redundante Information erweitert, 
die mit den Daten gespeichert werden. Bei einem lesen- 
den Zugriff werden diese Daten und die zuruckgelesene 35 
redundante Information dann durch die Vergleicher 18, 
19 auf Gultigkeit QberprQf t 

Sollen aus SicherheitsgrQnden Eingangsdaten redun- 
dant erfaBt und verarbeitet werden, werden die Ein- 
gangs- bzw. Eingabestufen (7, 8, 12, 13) doppelt ausge- 40 
legt. Diese Stufen kdnnen jeweils zum Teil im AdreB- 
raum der einen und der anderen Zentraleinheit ange- 
ordnet werden. Daher ist eine Entkopplung der Peri- 
pherie-Elemente wie bei einem symmetrischen Micro- 
prozessorsystem gegebea 45 

Die Ausgangssignale, insbesondere die Ansteuersi- 
gnale fQr die Ventilansteuerung 20, die doppelt ausge- 
legte Ausgabestufen enthalten, kdnnen ebenfalls jeweils 
zum Teil im AdreBraum der einen oder der anderen 
Zentraleinheit angeordnet werden. Folglich ist eine Ent- 50 
kopplung von Ausgangs-Peripherie-Elementen wie bei 
einem vollsymmetrischen Konzept gegeben. 

Urn Fehler bei der Obertragung von Informationen 
Qber das Bussystem zu erkennen, ist dieses redundant in 
Form der Bussysteme 3 und 4 (Bus 1, Bus 4) ausgelegt 55 
Die von den beiden Zentraleinheiten 1, 2 abgegebenen, 
auf den Bussystemen anstehenden Signale werden 
durch die Vergleicher 18, 19 auf Obereinstimmung Qber- 
wacht 

Werden zur Erzeugung der PrQfdaten oder Redun- 60 
danzdaten Paritatsgeneratoren verwendet, sind bei dem 
erfindungsgemaBen System zwei Generatoren erfor- 
derlich, die z. B. in den Zentraleinheiten 1, 2 oder in den 
Vergleichern 18, 19 untergebracht werden kflnnen. Bei 
einem schreibenden Zugriff auf die zusatzlichen Spei- 65 
cherplatze, die fur den Schreib-Lese-Speicher zur Ver- 
fQgung stehen (Speicher 11), wird die mit Hilfe des Re- 
dundanzgenerators in der Zentraleinheit 2 erzeugte In- 



formation gespeichert Bei lesendem Zugriff auf die zu- 
satzlichen Speicherplatze fur die PrQfdaten im Fest- 
wert- oder Schreib-Lese-Speicher wird die von dem Re- 
dundanzgenerator erzeugte Information mit der gelese- 
nen Redundanzinformation auf Obereinstimmung ver- 
glichea 

Geeignete Redundanzgeneratoren lassen sich z. B. in 
bekannter Weise mit Hilfe von Exklusiv-0 DER-Gat- 
tern realisierea 

Patentanspruche 

1. Microprozessorsystem fQr sicherheitskritische 
Regelungen, mit zwei synchron betriebenen Zen- 
traleinheiten oder CPU's, die die gleichen Ein- 
gangsinformationen erhalten und das gleiche Pro- 
gramm abarbeiten, mit Festwertspeichern (ROM) 
und Schreib-Lese-Speichern (RAM), mit Speicher- 
platzen fQr PrQfdaten und mit PrQfdatengenerato- 
ren, mit Vergleichern, die die Ausgangsdaten bzw. 
Ausgangssignale der Zentraleinheiten QberprQfen 
und bei Nicht-Obereinstimmung Abschaltsignale 
abgeben, dadurch gekennzeichnet, daB die Zen- 
traleinheiten bzw. CPU's (1, 2) Qber separate Bussy- 
steme (3, 4) an die Festwert- und an die Schreib-Le- 
se-Speicher (5, 6, 10, 11) sowie an Eingabe- und 
Ausgabeeinheiten (7, 8, 12, 13; 9, 14) angeschlossen 
sind und daB die Bussysteme (3, 4) untereinander 
durch Treiberstufen (15, 16, 17) verbunden sind, die 
den beiden Zentraleinheiten (1, 2) ein gemeinsames 
Lesen und Abarbeiten der anstehenden, d. h. in den 
beiden Bussystemen (3, 4) zur VerfQgung stehenden 
Daten, einschlieBlich der PrQfdaten und Befehle, er- 
mflglichen. 

2. Microprozessorsystem nach Anspruch 1, dadurch 
gekennzeichnet, daB die Vergleicher (18, 19) die auf 
den beiden Bussystemen (3, 4) anstehenden Ein- 
gangs- und Ausgangsdaten der beiden Zentralein- 
heiten (1, 2), einschlieBlich der PrQfdaten und Be- 
fehle auf Obereinstimmung vergleichen. 

3. Microprozessorsystem nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, daB die Speicherplatze 
der Festwertspeicher (5) und der Schreib-Lese- 
Speicher (6), einschlieBlich der Speicherplatze fur 
die PrQfdaten (10, 11), auf die an die beiden Bussy- 
steme (3, 4) angeschlossenen Speicher (5, 6, 10, 11) 
verteilt sind. 

4. Microprozessorsystem nach Anspruch 3, dadurch 
gekennzeichnet, daB an einem Bussystem (3) die 
Festwert- und die Schreib-Lese-Speicher (5, 6) und 
an dem zweiten Bussystem (4) die zugehdrigen 
PrQfwertspeicher (10, 11) angeschlossen sind. 

5. Microprozessorsystem nach einem oder mehre- 
ren der AnsprQche 1 bis 4, dadurch gekennzeichnet, 
daB zumindest die beiden Zentraleinheiten (1, 2), 
die Speicher (5, 6, 10, 11) und die Treiberstufen (15, 
16, 17), die den Zentraleinheiten ein gemeinsames 
Lesen der anstehenden Daten ermdglichen, und ein 
Vergleicher (18, 19) auf einem einzigen Chip ange- 
ordnet sind. 

6. Microprozessorsystem nach einem oder mehre- 
ren der AnsprQche 1 bis 5, dadurch gekennzeichnet, 
daB die beiden Bussysteme (3, 4) jeweils einen Da- 
ten- und Prufinformations-Bus (Dp), einen AdreB- 
bus (A) und einen Steuerbus (C) umfassen. 

7. Microprozessorsystem nach einem oder mehre- 
ren der AnsprQche 1 bis 6, dadurch gekennzeichnet, 
daB die Signale der beiden Zentraleinheiten (1, 2), 



BEST AVAILABLE COPY =n~? j 



nSmlich die Signale auf den beiden Bussystemen (3, 
4), zwei parallel geschalteten Hardware- Verglei- 
chern(18, 19) zugefiihrt werden, die innerhalb eines 
Chips, jedoch rSumlich getrennt, angeordnet sind. 

8. Microprozessorsystem nach einem oder mehre- 5 
ren der Ansprttchen 1 bis 7, dadurch gekennzeich- 
net, daB an die Systeme (3, 4) mit einem externen 
Vergleicher (22, 23, 24) Aktuatoren oder Ventile 
angeschlossen sind. 

9. Microprozessorsystem nach Anspruch 8, dadurch 10 
gekennzeichnet, daB der externe Vergleicher (2) 
Ausgangsschieberegister (22, 23) aufweist, von de- 
nen eines (23) die Ausgangsdaten invertiert erhalt, 
daB die den beiden Schieberegister (22, 23) enthal- 
tenen Daten liber ein UND-Gatter (24), das einen 15 
invertierten Eingang besitzt, verglichen werden 
und daB das Ausgangssignal des UNDF-Gatters 
(24) einen Schalter (26) in der Stromversorgung fur 
die Aktuatoren oder Ventile (25) geschlossen halt. 
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